De AVG kreeg cookies eronder, maar geeft nu voeding aan technieken die de privacy nog meer bedreigen

Online reclame De Algemene Verordening Gegevensbescherming beteugelt het gebruik van cookies. Ondertussen storten adverteerders zich op alternatieven die de persoonlijke levenssfeer mogelijk nog gedetailleerder blootleggen. Maak kennis met ‘walled gardens’, ommuurde tuinen waarin klantprofielen van internetters voortdurend verrijkt worden.

Foto Getty Images

‘Wij verzamelen zoveel mogelijk intieme gegevens van u, en verkopen de resulterende inzichten aan de hoogste bieder. Stemt u toe?’ Waarschijnlijk niet. Toch accordeerden 400 miljoen Europese Facebook-leden een gebruiksovereenkomst die ongeveer hier op neerkomt. Daarmee ‘omzeilt’ het sociale netwerk volgens privacyactivisten de Algemene Verordening Gegevensbescherming (AVG).

De AVG bepaalt dat partijen die data van consumenten verzamelen eerst uitleggen waarvoor ze die data gebruiken en pas daarna om toestemming mogen vragen. Toen de AVG in 2018 inging, nam Facebook zo’n uitleg op in zijn End User Licence Agreement (EULA). In de praktijk, echter, lezen aspirant-leden die nauwelijks alvorens ze op ‘akkoord’ klikken. Bestaande Facebook-gebruikers gaan nog gemakkelijker akkoord met ‘geactualiseerde’ voorwaarden.

Desalniettemin oordeelde het Weense Oberlandesgericht in een rechtszaak van privacyactivist Max Schrems dat Facebook met de aangepaste overeenkomst aan de AVG voldoet. Verwerken van persoonlijke data zou bovendien cruciaal zijn voor de ‘persoonlijke ervaring’ die leden wordt beloofd, waaronder gericht adverteren. Wie ermee instemt, kan volgens dit gerecht achteraf geen bezwaar maken.

Lees ook: De advertentiemarkt blijft de regels voor cookies een stap voor

In hoger beroep vroeg Schrems zich af in hoeverre wij de consequenties van ons vlugge ‘akkoord’ overzien. Dagelijks slokken Facebook en Google terabytes aan persoonsdata op. In een database worden vervolgens patronen gelegd, identity graphs die voorspellen of iemand in de markt is voor een nieuwe telefoon, maar soms ook iemands financiële situatie of politieke voorkeur blootleggen.

Adverteerders zijn er dol op. Zij gaven vorig jaar twee derde van hun 300 miljard dollar online marketingbudget uit bij het ‘duopolie’. Om hun positie verder te verstevigen, trokken Facebook en Google een muur op rond hun gebruikers. Binnen die walled gardens hebben ze het alleenrecht op het volgen van hun leden en exploiteren van de inzichten die dat oplevert.

Ommuurde tuinen

Miljoenen andere websites op het ‘open’ internet kunnen niet wat Facebook en Google kunnen, al helemaal niet op zo’n grote schaal. Om hun adverteerders toch gericht te laten adverteren, ontstond aan de achterzijde van het web een ecosysteem van duizenden technologisch zeer geavanceerde ‘ad-tech’-firma’s. Samen maken zij het mogelijk advertentieruimte realtime te veilen aan de hoogst bieder. Vanwege de personalisatie kan elke advertentieruimte voor elke nieuwe bezoeker opnieuw worden geveild. Om internetters en hun interesses tijdens deze automatisch gestuurde veiling te identificeren, gebruiken de aangesloten sites en ad-tech-specialisten tracking cookies. Welbekend van de cookie-meldingen.

In deze stukjes computercode registreren websites en hun datapartners welke informatie bezoekers bekijken. Wie eerder op vakanties zocht, ziet advertenties van reisbureaus – ook op sites die niet over vakanties gaan. De ad-tech-partijen die dit faciliteren, verdienden vorig jaar de helft van het online marketingbudget dat niet door Facebook en Google werd opgeslokt, blijkt uit onderzoek door PwC.

Lees ook: Online kopen of verkopen? Ga eerst langs Google en Facebook

Voor gewone sites die samenwerken met de ad-tech-industrie is de AVG dus een grotere hindernis dan voor Google/Facebook. Dat zit ‘m vooral in de non-relatie die veel van de ‘cookie-websites’ hebben met hun bezoekers. Waar Google en Facebook klantprofielen aanleggen, daar moeten gewone sites de cookies met persoonsdata uitlezen en aanvullen. Dat mag van de AVG niet zomaar. Sluw is ook het voornemen van Google om de cookie-functionaliteit in de eigen Chrome-browser te beperken. Nog een dreun voor de ad-tech’s, terwijl de waarde van walled gardens – ommuurde tuinen – toeneemt.

In reactie kruipen ad-tech’s dichter aan tegen adverteerders en sites die wél een directe relatie met consumenten hebben. „Ook die krijgen steeds meer interesse in het genererenen van klantprofielen”, vertelt privacyexpert Annika Sponselee van Deloitte. „Hoe meer zij van hun klanten weten, hoe beter ze kunnen inspringen op individuele behoeften. Kijk hierbij niet alleen naar de letter van de wet, adviseren wij cliënten, maar vooral ook naar de motivatie achter de dataverzameling. Vanwege de snelle technologische ontwikkelingen zit tussen die twee een groot grijs gebied.”

Eén van die ad-tech’s is Infutor. Een Amerikaans bedrijf met autoproducenten en financiële instellingen als klanten. Infutor werkt samen met clouddataplatform Snowflake, waarvan de Nederlander Frank Slootman topman is. Een recente beursgang waardeerde Snowflake op 68 miljard dollar. Net als Google, analyseert Snowflake terabytes aan persoonsdata.

In de identity graphs ‘verrijkt’ Infutor de klantprofielen van opdrachtgevers met zoveel mogelijk extra data. „Mensen gaan schuil achter een groot aantal digitale identiteiten”, vertelt marketingdirecteur David Dague. „Ze communiceren met verschillende emailadressen en socialmediaprofielen en zitten op allerlei apparaten. Dat maakt het lastig om ze volledig in beeld te krijgen en dus ook om met ze te communiceren. Onze technologie koppelt al je online identiteiten aan één uniek klantprofiel.” Om die profielen verder te verrijken, verricht Infutor dagelijks 100 miljoen ‘data transacties’ met datahandelaren als Acxiom. Dit bedrijf koopt al sinds de jaren zestig persoonsdata op. Van basisadministraties en telefoonboeken tot aankoopdata van supermarkten. Het gaat hier dus ook om offline data, zoals kentekenplaten en serienummers van wasmachines.

Exclusieve toegang

De toepassing? Stel, iemand vraagt bij een bank productinformatie aan en geeft toestemming voor gebruik van zijn data. Via Infutor kan de bank dan achterhalen in welke inkomensklasse deze persoon zit, wat de rente van zijn huidige hypotheek is en of hij in de markt is voor een lening. Zo helpt Infutor bij het opstellen van een aanbieding die nauw aansluit bij de kenmerken van deze potentiële klant.

Maar hoe ‘target’ je deze interessante consumenten online zonder identificerende cookies op hun computer of telefoon? Daarvoor kloppen adverteerders aan bij LiveRamp. Deze datahandelaar beheert een database met ruim 250 miljoen consumentprofielen. Om die aan de juiste internetter te koppelen, werkt de firma nauw samen met duizenden drukbezochte websites en veelgebruikte apps.

Lees ook: Hoe effectief zijn online advertenties nog?

Ook die zoeken verwoed naar alternatieven voor de met regelgeving bedreigde advertentieveilingen. In plaats van cookies gebruikt LiveRamp de emailadressen die consumenten afstaan aan deze sites. Steeds meer websites vragen bezoekers om hun emailadres en toestemming voor datagebruik in ruil voor toegang tot premium content en nieuwsbrieven.

„Bij LiveRamp versleutelen wij emailadressen met encryptie”, vertelt Tim Geenen van LiveRamp. „Zo ontstaat een combinatie van cijfers en letters die niet meer tot de consument in kwestie kan worden herleid. Omdat het klikgedrag van de consument is opgeslagen onder diezelfde encryptie, kunnen we consument en advertentie koppelen, zonder dat er herleidbare persoonsgegevens aan te pas komen. Wij houden als het ware de sleutel tussen deze partijen.” Volgens Geenen, in Nederland ook bestuurslid van de branchevereniging voor digitale advertentiepartijen (VIA), bouwt LiveRamp zo aan de voorwaarden voor een duurzaam internet. „Uitgevers behouden dankzij onze oplossing de advertentie-inkomsten die anders nog meer richting de walled gardens weglekken”, stelt hij.

Op volle toeren

Het is de vraag of de Europese wetgever dat ook zo ziet. Ook de cookie gold lange tijd als ‘anonieme’ identificatiemethode. Tot bleek dat die stukjes code wel degelijk zijn terug te voeren op individuen. Weliswaar verplicht de AVG partijen als LiveRamp en Infutor tot optimale transparantie over afkomst en gebruik van hun data. De controle ontbreekt echter en mogelijk soebatten juristen nog jaren over de interpretatie van de nieuwe wet. Het op persoonsdata draaiende ad-tech-ecosysteem draait ondertussen op volle toeren door.

„Veel consumenten vinden het prettig als een webshop hen een trui of broek laat zien die aansluit op hun smaak”, reageert Annika Sponselee. „Dat wordt al een stuk minder als die data verdwijnt in een ondoorzichtig ecosysteem van onzichtbare ad-tech-partijen. Zeker als hun kledingmaten bij Weight Watchers terechtkomen. Ik geef cliënten daarom vaak de volgende maatstaf mee: kun je de manier waarop jij persoonlijke gegevens gebruikt uitleggen aan je moeder of op het Achtuurjournaal? Die motivering zal een belangrijke kwestie worden in het online marketinglandschap.”